隨着國內疫情防控取得積極成效,企業逐步復工復產,等保合規也重新提上重要日程。自去年12月1日,我國《信息安全等級保護管理辦法》正式進入2.0時代,但目前傳統的等保安全產品,市面上產品繁多,且施工複雜、交付週期長、服務質量參差不齊。
爲了讓有過保需求的客戶能夠更全面地瞭解當前的等保測評機制、以及針對性進行等保合規建設,我梳理了等保常見20個問題,以供大家參考。
Q1:什麼是等級保護?
答:等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
Q2:什麼是等保2.0?
答:“等級保護2.0”或“等保2.0”是一個約定俗成的說法,指按新的等級保護標準規範開展工作的統稱。通常認爲是《中華人民共和國網絡安全法》頒佈實行後提出,以2019年12月1日,網絡安全等級保護基本要求、測評要求和設計技術要求更新發布新版本爲象徵性標誌。
Q3:爲什麼要做等保?
答:主要有三大原因:法律法規要求、行業要求、企業系統安全需求。但嚴格來說,最主要的原因是:法律法規要求——《網絡安全法》明確規定信息系統運營、使用單位應當按照網絡安全等級保護制度要求,履行安全保護義務,如果拒不履行,將會受到相應處罰。如果達到了法律法規要求的條件,不做等保就是違法!
Q4:等級保護是否是強制性的,可以不做嗎?
答:《中華人民共和國網絡安全法》第二十一條規定網絡運營者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務提供者。
Q5:哪些行業必須做等保?
答:教育行業、醫療行業、金融行業、物流行業、遊戲行業、出版行業、國資行業、電商行業、網貸行業、通訊行業、能源行業等。
等級保護相關標準雖然爲非強制性的推薦標準,但網絡(個人與家庭網絡除外)運營者必需按網絡安全法開展等級保護工作。
Q6:等保一共分爲幾級?
答:第一級(自主保護級)、第二級(指導保護級)、第三級(監督保護級)、第四級(強制保護級)、第五級(專控保護級)。一般企業過二級、三級等保即可,金融類需四級等保。
Q7:如何確定企業的業務系統屬於等保幾級?
答:可參照等級保護定級指南,從業務系統安全和系統服務安全兩個方面評價當業務系統被破壞時對客體的影響程度,取兩個方面較高的等級。
當確定系統級別後,可開展專家評審對系統定級合理性進行審覈。如有行業主管部門制訂的定級依據,可直接參照採納行業定級標準定級。
Q8:是否系統定級越低越好?
答:不是。可根據實際業務系統的情況參照定級標準進行定級,採用“定級過低不允許、定級過高不可取”的原則。當出現網絡安全事件進行追責的時候,如因系統定級過低,需承擔系統定級不合理、安全責任沒有履行到位的風險。
Q9:做等級保護要多少錢?
答:開展等級保護工作會包含:針對業務系統開展測評的費用,以及按等級保護要求開發、購買或部署安全防護產品成本,開展安全日常運維等人力成本。總體投入的費用與網絡運營者對等級保護測評結果分數的預期,以及業務系統安全防護能力建設與整改的情況而定,相應的費用投入會差距很大。
爲避免盲目投入這個誤區,建議諮詢網銀互聯安全專家,制訂最高性價比的解決方案來滿足合規要求又達到業務系統安全保障要求。
Q10:等級保護測評一般多長時間能測完?
答:一個二級或三級的系統整體持續週期1-2個月。
現場測評週期一般1周左右,具體時間還要根據信息系統數量及信息系統的規模,以及測評方與被測評方的配合情況等有所增減。小規模安全整改(管理制度、策略配置技術整改)2-3周,出具報告時間1周。
Q11:等級保護測評多久做一次?
答:四級信息系統要求每半年至少開展一次測評;三級信息系統要求每年至少開展一次測評;二級信息系統建議每兩年開展一次測評,部分行業是明確要求每兩年開展一次測評。
Q12:多長時間能拿到備案證明?
答:全國各省網警管理有所差異,一般提交備案流程後,如資料完備(三級系統要求含測評報告),順利通過審覈後15個工作日即可拿到備案證明。
Q13:不同公司的業務系統整合後是否可以算一個系統?
答:如果兩個業務系統整合後功能高度融合,後臺統一,可以認爲是一個系統,只是業務功能增加,按業務系統更變申請複測即可。
Q14:買/用哪些安全產品能過等保?
答:可根據實際情況,如考慮等保測評結果分數與等級、業務系統風險與防護要求等綜合考慮安全通信網絡防護、安全區域邊界防護、安全計算環境防護、安全管理中心、安全建設與運維等投入。
Q15:等級保護有哪些規範標準?
答:等級保護涉及面廣,相關的安全標準、規範、指南還有很多正在編制或修訂中。常用的規範標準包括但不限於如下幾個:
GB/T 31167-2014 信息安全技術 雲計算服務安全指南
GB/T 31168-2014 信息安全技術 雲計算服務安全能力要求
GB/T 36326-2018 信息技術 雲計算雲服務運營通用要求
GB/T 25058-2010 信息安全技術 信息系統安全等級保護實施指南
GB/T 25070-2019信息安全技術 網絡安全等級保護安全設計技術要求
GB/T 28448-2019信息安全技術 網絡安全等級保護測評要求
GB/T 22240-2008信息安全技術 信息系統安全等級保護定級指南
GM/T 0054-2018 信息系統密碼應用基本要求
GB/T 35273-2020 信息安全技術 個人信息安全規範
Q16:等級保護步驟或流程是什麼樣的?
答:根據信息系統等級保護相關標準,等級保護工作總共分五個階段,分別爲:信息系統定級、是信息系統備案、是系統安全建設、是信息系統開始等級測評、主管單位定期開展監督檢查。
Q17:業務系統在內/專網,還需要做等保嗎?
答:需要。內網與專網的非涉密系統都屬於等級保護範疇,雖然內/專網相對於互聯網,業務系統的用戶比較明確或可控,但內網不代表安全。
Q18:系統在雲上,還要做等保嗎?
答:要做。業務上雲有多種情況,如在公有云、私有云、專有云等不同屬性的雲上,並採用IaaS、PaaS、SaaS、IDC託管等不同服務,雖然安全責任邊界發生了變化,但網絡運營者的安全責任不會轉移。根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則,應承擔網絡安全責任進行等級保護工作。
Q19:IDC客戶如何輕鬆過等保?
答:可選擇已過等保三級的IDC機房,這也是租戶業務系統通過等級保護2.0測評的先決條件。以【託管即合規】的資源池方式,實現了IT安全服務虛擬化、資源池化、交付敏捷、節省成本四大優勢。
Q20:如何省心過等保?
答:可選擇專業機構;評判標準:安全產品方面,針對等保二級和三級的要求,需要擁有包含安全管理中心、下一代防火牆、web應用防火牆、DDoS高防、數據安全網關、入侵防禦、漏洞監測、IDS、IPS、堡壘機、數據庫審計、日誌審計等安全防護產品。安全服務方面,能提供一站式、全流程服務,可爲客戶設計最佳的安全防護方案,最大化安全防護效果。